Für allgemeine bewährte Verfahren im Zusammenhang mit Ereignissen siehe Ereignisse in Server- und Workload Protection.
Um die von Server- und Workload Protection erfassten Intrusion-Prevention-Ereignisse anzuzeigen, gehen Sie zu .
Welche Informationen werden für Ereignisse der Eindringungsverhinderung angezeigt?
Diese Spalten können auf der Seite für Eindringungsschutzereignisse angezeigt werden.
Sie können auf Columns klicken, um auszuwählen, welche Spalten in der Tabelle angezeigt werden.
- Zeit: Zeitpunkt, zu dem das Ereignis auf dem Computer stattfand.
- Computer: Der Computer, auf dem dieses Ereignis protokolliert wurde. (Wenn der Computer entfernt wurde, wird dieser Eintrag "Unbekannter Computer" lauten.)
- Grund: Die mit diesem Ereignis verknüpfte Eindringungsschutzregel.
- Tag(s): Alle mit dem Ereignis verbundenen Tags.
- Anwendungstyp: Der Anwendungstyp, der mit der Eindringungsverhinderungsregel verbunden ist, die dieses Ereignis verursacht hat.
- Aktion: Welche Aktion die Regel zum Eindringschutz durchgeführt hat (Sperren oder Zurücksetzen). Wenn die Regel im Nur erkennen-Modus ist, wird die Aktion mit "Nur Erkennung:" eingeleitet. - Rang: Das Bewertungssystem bietet eine Möglichkeit, die Bedeutung von Eindringschutz- und Firewall-Ereignissen zu quantifizieren. Indem "Asset-Werte" Computern und "Schweregradwerte" den Regeln zum Eindringschutz und Firewall-Regeln zugewiesen werden, wird die Bedeutung ("Rang") eines Ereignisses berechnet, indem die beiden Werte miteinander multipliziert werden. Dies ermöglicht es Ihnen, Ereignisse nach Rang zu sortieren, wenn Sie Eindringschutz- oder Firewall-Ereignisse anzeigen.
- Schweregrad: Der Schweregradwert der Eindringungsverhinderungsregel.
- Richtung: Die Richtung des Pakets (eingehend oder ausgehend).
- Flow: ob das/die Paket(e), das/die dieses Ereignis ausgelöst hat/haben, in Richtung des überwachten Datenverkehrs ("Verbindungsfluss") oder gegen die Richtung des überwachten Datenverkehrs ("Rückfluss") gemäß der Regel zur Eindringungsprävention unterwegs war(en).
- Schnittstelle: Die MAC-Adresse der Schnittstelle, durch die das Paket geleitet wurde.
- Frame Type: Der Rahmentyp des betreffenden Pakets. Mögliche Werte sind "IPV4", "IPV6", "ARP", "REVARP" und "Andere: XXXX", wobei XXXX den vierstelligen Hex-Code des Rahmentyps darstellt.
- Protokoll: Mögliche Werte sind "ICMP", "ICMPV6", "IGMP", "GGP", "TCP", "PUP", "UDP", "IDP", "ND", "RAW", "TCP+UDP" und "Andere: nnn", wobei nnn einen dreistelligen Dezimalwert darstellt.
- Flags: Im Paket gesetzte Flags.
- Quell-IP: Die Quell-IP des Pakets.
- Quell-MAC: Die Quell-MAC-Adresse des Pakets.
- Quellport: Der Quellport des Pakets.
- Ziel-IP: Die Ziel-IP-Adresse des Pakets.
- Ziel-MAC: Die Ziel-MAC-Adresse des Pakets.
- Zielport: Der Zielport des Pakets.
- Packet Size: Die Größe des Pakets in Byte.
- Repeat Count: Die Anzahl der aufeinanderfolgenden Wiederholungen des Ereignisses.
- Time (microseconds): Mikrosekundenauflösung für die Zeit, zu der das Ereignis auf dem Computer stattfand.
- Event Origin: Die Server- und Workload Protection-Komponente, von der das Ereignis stammt.
Die folgenden Spalten sind ebenfalls verfügbar. Sie zeigen Informationen zu Ereignissen
an, die von Containern auf Computern ausgelöst werden, die durch Agentenversion 12
FR oder neuer geschützt sind:
- Interface Type: Container-Schnittstellentyp.
- Container Name: Name des Containers, in dem das Ereignis aufgetreten ist.
- Container ID: Container-ID des Containers, in dem das Ereignis aufgetreten ist.
- Image Name: Der Bildname, der verwendet wurde, um den Container zu erstellen, in dem das Ereignis aufgetreten ist.
- RepoDigest: Ein einzigartiger Digest, der das Container-Image identifiziert.
- Prozessname: Name des Prozesses (aus dem Container), der das Ereignis verursacht hat.
Zusätzliche Informationen zu Intrusion Prevention-Ereignissen anzeigen
Beim Exportieren von Intrusion-Prevention-Ereignissen umfassen die exportierten Daten die oben aufgeführten
Felder sowie zusätzliche Felder, die in der Server- und Workload Protection-Konsole nicht sichtbar sind. Die einzige Ausnahme ist das Schweregrad-Feld, das in der CSV-Datei nicht verfügbar ist.
- Hinweis: Bedeutungsvolle Zeichenfolge für das Ereignis, wie z.B. CVE-Code.
- Endzeit: Zeitpunkt, zu dem das Paket zuletzt gesehen wurde.
- Position In Buffer: Position im Paket.
- Position In Stream: Position des Pakets im TCP/IP-Datenstrom.
- Data Flags: Siehe die Tabelle unten für Details zu den Daten-Flag-Werten:
|
Code
|
Kennzeichnen
|
Hinweise
|
|
0x01
|
Daten abgeschnitten
|
Zeigt an, dass Daten nicht protokolliert werden konnten.
|
|
0x02
|
ProtokollÜberlauf
|
Protokolle sind nach diesem Eintrag übergelaufen.
|
|
0x04
|
unterdrückt
|
Protokollschwellenunterdrückung trat nach diesem Eintrag auf.
|
|
0x08
|
haveData
|
Paketdaten werden protokolliert.
|
|
0x10
|
refData
|
DataId wird protokolliert. Der Paketinhalt wird in diesem Ereignis nicht protokolliert.
Der Inhalt wird nur im Ereignis mit dem 0x08-Flag und demselben Datenindex protokolliert.
|
|
0x20
|
haveRawPkt
|
Daten sind das vollständige, rohe Paket.
|
- Data Index: Eine eindeutige ID für Paketdaten (dataId). Alle Einträge mit derselben dataId stammen aus demselben Paket.
- Daten: Nutzlast des Pakets.
- Original IP (XFF): Zeigt die ursprüngliche IP-Adresse des Clients an. Um Daten für dieses Feld zu erhalten, aktivieren Sie die Regel 1006450 - Enable X-Forwarded-For HTTP Header Logging.
Die folgenden Felder sind ebenfalls verfügbar. Sie zeigen Informationen für Ereignisse
an, die von Containern auf Computern ausgelöst werden, die durch die Agentenversion
12 FR oder neuer geschützt sind:
- Prozess-ID: Vom Container gemeldete Prozess-ID.
- Thread ID: Vom Container gemeldete Thread-ID.
- Image ID: Die lokale ID des Container-Images.
- Pod ID: Die Pod-ID (falls zutreffend).
Liste aller Ereignisse der Eindringungsprävention
|
ID
|
Ereignis
|
Hinweise
|
|
200
|
Region zu groß
|
Ein Bereich (Bearbeitungsbereich, URI usw.) hat die maximal zulässige Puffergröße
(7570 Byte) überschritten, ohne geschlossen zu werden. Dies liegt normalerweise daran,
dass die Daten nicht dem Protokoll entsprechen.
|
|
201
|
Nicht genügend Arbeitsspeicher
|
Das Paket konnte nicht ordnungsgemäß verarbeitet werden, da die Ressourcen erschöpft
waren. Dies kann daran liegen, dass es zu viele gleichzeitige Verbindungen gibt oder
einfach, weil das System keinen Speicher mehr hat.
|
|
202
|
Maximale Anzahl an Bearbeitungen überschritten
|
Die maximale Anzahl von Bearbeitungen (32) in einem einzelnen Bereich eines Pakets
wurde überschritten.
|
|
203
|
Bearbeitung zu groß
|
Bearbeitungsversuch, um die Größe des Bereichs über die maximal zulässige Größe (8188
Byte) zu erhöhen.
|
|
204
|
Maximale Übereinstimmungen im Paket überschritten
|
Im Paket gibt es mehr als 2048 Positionen mit Musterübereinstimmungen. Bei diesem
Limit wird ein Fehler zurückgegeben und die Verbindung wird abgebrochen, da dies normalerweise
auf ein fehlerhaftes oder ausweichendes Paket hinweist.
|
|
205
|
Aufrufstapel des Engines zu tief
|
|
|
206
|
Laufzeitfehler
|
Laufzeitfehler.
|
|
207
|
Paketlesefehler
|
Niedriges Problem beim Lesen von Paketdaten.
|
|
258
|
Fehler Offen: Zurücksetzen
|
Protokolliere die Verbindung, die zurückgesetzt werden sollte, jedoch nicht, wenn
die Fail-Open-Funktion aktiviert ist und im Inline-Modus
|
|
300
|
Nicht unterstützter Verschlüsselungsalgorithmus
|
Ein unbekanntes oder nicht unterstütztes Cipher Suite wurde angefordert.
|
|
301
|
Fehler beim Erstellen des Master-Schlüssels/der Master-Schlüssel
|
Es ist nicht möglich, die kryptografischen Schlüssel, Mac-Geheimnisse und Initialisierungsvektoren
aus dem Mastergeheimnis abzuleiten.
|
|
302
|
Record Layer-Nachricht (nicht bereit)
|
Die SS-Zustandsmaschine hat einen SS-Datensatz vor der Initialisierung der Sitzung
gefunden.
|
|
303
|
Handshake-Nachricht (nicht bereit)
|
Die SSL-Zustandsmaschine hat eine Handshake-Nachricht empfangen, nachdem der Handshake
ausgehandelt wurde.
|
|
304
|
Handshake-Nachricht außer Reihenfolge
|
Ein gut formatiertes Handshake-Nachricht wurde außerhalb der Reihenfolge empfangen.
|
|
305
|
Speicherzuweisungsfehler
|
Das Paket konnte nicht ordnungsgemäß verarbeitet werden, da die Ressourcen erschöpft
waren. Dies kann daran liegen, dass es zu viele gleichzeitige Verbindungen gibt oder
einfach, weil das System keinen Speicher mehr hat.
|
|
306
|
Nicht unterstützte SSL-Version
|
Ein Client hat versucht, eine SSL V2-Sitzung auszuhandeln.
|
|
307
|
Fehler beim Entschlüsseln des Pre-Master-Schlüssels
|
Fehler beim Entschlüsseln des Pre-Master-Secrets aus der ClientKeyExchange-Nachricht.
|
|
308
|
Client hat versucht, ein Rollback durchzuführen
|
Ein Client hat versucht, auf eine frühere Version des SSL-Protokolls zurückzusetzen
als die, die in der ClientHello-Nachricht angegeben war.
|
|
309
|
Erneuerungsfehler
|
Eine SSL-Sitzung wurde mit einem zwischengespeicherten Sitzungsschlüssel angefordert,
der nicht gefunden werden konnte.
|
|
310
|
Fehler beim Schlüsselaustausch
|
Der Server versucht, eine SSL-Sitzung mit einem temporär generierten Schlüssel aufzubauen.
|
|
311
|
Maximale Anzahl von SSL-Schlüsselaustauschen überschritten
|
Die maximale Anzahl gleichzeitiger Schlüsselaustauschanfragen wurde überschritten.
|
|
312
|
Schlüssel zu groß
|
Die Hauptgeheimschlüssel sind größer als vom Protokollbezeichner angegeben.
|
|
313
|
Ungültige Parameter im Handshake
|
Beim Versuch, das Handshake-Protokoll zu dekodieren, wurde ein ungültiger oder unvernünftiger
Wert gefunden.
|
|
314
|
Keine Sitzungen verfügbar
|
|
|
315
|
Komprimierungsmethode nicht unterstützt
|
|
|
316
|
Nicht unterstütztes Anwendungsprotokoll
|
Ein unbekanntes oder nicht unterstütztes SSL-Anwendungsschichtprotokoll wurde angefordert.
|
|
386
|
Fehler Offen: Zurücksetzen
|
Protokolliere die Verbindung, die zurückgesetzt werden sollte, jedoch nicht, wenn
die Fail-Open-Funktion aktiviert ist und im Tap-Modus.
|
|
500
|
URI-Pfad-Tiefe überschritten
|
Zu viele "/"-Trennzeichen. Maximale Pfadtiefe: 100.
|
|
501
|
Ungültige Traversierung
|
Versucht, "../" über das Stammverzeichnis hinaus zu verwenden.
|
|
502
|
Illegales Zeichen in URI
|
Illegal-Zeichen in URI verwendet.
|
|
503
|
Unvollständige UTF8-Sequenz
|
URI endete in der Mitte einer UTF-8-Sequenz.
|
|
504
|
Ungültige UTF8-Kodierung
|
Ungültiger oder nicht kanonischer Kodierungsversuch.
|
|
505
|
Ungültige Hex-Codierung
|
%nn, wobei nn keine Hexadezimalziffern sind.
|
|
506
|
URI-Pfad zu lang
|
Pfadlänge ist größer als 512 Zeichen.
|
|
507
|
Ungültige Verwendung des Zeichens
|
Verwendung von deaktivierten Zeichen
|
|
508
|
Doppelte Decodierungsexploit
|
Doppeltes Decodierungs-Exploit-Versuch (%25xx, %25%xxd, usw.).
|
|
700
|
Ungültiger Base64-Inhalt
|
Der erwartete Paketinhalt, der im Base64-Format kodiert sein sollte, wurde nicht korrekt
kodiert.
|
|
710
|
Beschädigter Deflate/GZIP-Inhalt
|
Der erwartete Paketinhalt, der im Base64-Format kodiert sein sollte, wurde nicht korrekt
kodiert.
|
|
711
|
Unvollständiger Deflate/GZIP-Inhalt
|
Unvollständiger Deflate/GZIP-Inhalt
|
|
712
|
Deflate/GZIP-Prüfsummenfehler
|
Deflate/GZIP-Prüfsummenfehler.
|
|
713
|
Nicht unterstütztes Deflate/GZIP-Wörterbuch
|
Nicht unterstütztes Deflate/GZIP-Wörterbuch.
|
|
714
|
Nicht unterstütztes GZIP-Headerformat/-methode
|
Nicht unterstütztes GZIP-Headerformat oder -methode.
|
|
801
|
Protokoll-Dekodierungssuchlimit überschritten
|
Eine Protokoll-Dekodierungsregel definierte ein Limit für ein Such- oder PDU-Objekt,
aber das Objekt wurde nicht gefunden, bevor das Limit erreicht wurde.
|
|
802
|
Protokoll-Dekodierungsbeschränkungsfehler
|
Eine Protokoll-Dekodierungsregel hat Daten dekodiert, die nicht den Protokollinhaltsbeschränkungen
entsprachen.
|
|
803
|
Protokoll-Dekodierungs-Engine Interner Fehler
|
|
|
804
|
Protokoll-Dekodierungsstruktur zu tief
|
Eine Protokoll-Decodierungsregel stieß auf eine Typdefinition und Paketinhalt, die
dazu führten, dass die maximale Typverschachtelungstiefe (16) überschritten wurde.
|
|
805
|
Fehler im Protokoll-Dekodierungsstapel
|
Ein Programmierfehler in der Regel versuchte, Rekursion zu verursachen oder zu viele
verschachtelte Prozeduraufrufe zu verwenden.
|
|
806
|
Unendlicher Daten-Schleifenfehler
|
|